您好、欢迎来到现金彩票网!
当前位置:2019欢乐棋牌 > 主密钥 >

如何实施安全电子商务?

发布时间:2019-08-07 04:03 来源:未知 编辑:admin

  2、目前主要采用哪些技术手段保证电子商务信息安全的要求,并简述其基本原理。

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  展开全部电子商务这方面的东西多的,一下子也说不完,我只能大概的说一下,如果对我的回答不满意,我给你一个网站,里面有详细介绍电子商务安全、流程、施行方案等等,在最下面的参考资料里。

  电子商务按电子商务交易涉及的对象、电子商务交易所涉及的商品内容和进行电子业务的 企业所使用的网络类型等对电子商务进行不同的分类。

  (一)按参与交易的对象分类 按参与电子商务交易涉及的对象分类,电子商务可以分为以下三种类型:

  1.企业与消费者之间的电子商务(Business to Customer即B TO C)。这是消费者利用因特网 直接参与经济活动的形式,类同于商业电子化的零售商务。随着万维网(的出现,网上销 售迅速地发展起来。目前,在因特网上有许许多多各种类型的虚拟商店和虚拟企业,提供各种与 商品销售有关的服务。通过网上商店买卖的商品可以是实体化的,如书籍、鲜花、服装、食品、 汽车、电视等等;也可以是数字化的,如新闻、音乐、电影、数据库、软件及各类基于知识的商 品;还有提供的各类服务,有安排旅游、在线医疗诊断和远程教育等。

  2.企业与企业之间的电子商务(Business to Business 即B TO B)。B TO B方式是电子商务应 用最重和最受企业重视的形式,企业可以使用Internet或其他网络对每笔交易寻找最佳合作伙伴, 完成从定购到结算的全部交易行为,包括向供应商订货、签约、接受发票和使用电子资金转移、 信用证、银行托收等方式进行付款,以及在商贸过程中发生的其他问题如索赔、商品发送管理和 运输跟踪等。企业对企业的电子商务经营额大,所需的各种硬软件环境较复杂,但在EDI商务成功 的基础上发展得最快。

  3.企业与政府方面的电子商务(Business to Government B TO G)。这种商务活动覆盖企业与 政府组织间的各项事务。例如企业与政府之间进行的各种手续的报批,政府通过因特网发布采购 清单、企业以电子化方式响应:政府在网上以电子交换方式来完成对企业和电子交易的征税等, 这成为政府机关政务公开的手段和方法。

  (二)按交易涉及的商品内容分类 如果按照电子商务交易所涉及的商品内容分类,电子商务主要包括两类商业活动。

  1.间接电子商务 电子商务涉及商品是有形货物的电子订货,如鲜花、书籍、食品、汽车等,交易的商品需要 通过传统的渠道如邮政业的服务和商业快递服务来完成送货,因此,间接电子商务要依靠送 货的运输系统等外部要素。

  2.直接电子商务 电子商务涉及商品是无形的货物和服务,如计算机软件、娱乐内容的联机订购、付款和交付, 或者是全球规模的信息服务。直接电子商务能使双方越过地理界线直接进行交易,充分挖掘 全球市场的潜力。目前我国大部分的农业网站都属于这一类,但这还是真正意义上的直接电子 商务。

  (三)按电子商务使用的网络类型分类 根据开展电子商务业务的企业所使用的网络类型框架的不同,电子商务可以分为如下三种形式:

  1.EDI网络电子商务(Electronic Data Interchange,电子数据交换)。EDI是按照一个公认 的标准和协议,将商务活动中涉及的文件标准化和格化式,通过计算机网络,在贸易伙伴的计 算机网络系统之间进行数据交换和自动处理。EDI主要应用于企业与企业、企业与批发商、批发 商与零售商之间的批发业务。EDI电子商务在90年代已得到较大的发展,技术上也较为成熟,但 是因为开展EDI对企业有较高的管理、资金和技术的要求,因此至今尚不太普及。

  2.因特网电子商务(Internet网络)。是指利用连通全球的Internet网络开展的电子商务 活动,在因特网上可以进行各种形式的电子商务业务,所涉及的领域广泛,全世界各个企业 和个人都可以参与,正以飞快的速度在发展,其前景十分诱人,是目前电子商务的主要形式。

  3.内联网络电子商务(Intranet网络)。是指在一个大型企业的内部或一个行业内开展的电 子商务活动,形成一个商务活动链,可以大大提高工作效率和降低业务的成本。 例如中华人民共和国专利局的主页,客户在该网站上可以查询到有关中国专利的所有信息和 业务流程,这是电子商务在政府机关办公事务中的应用;已经开通的上海网上南京路一条街 主页,包括了南京路上的主要商店,客户可以在网上游览著名的上海南京路商业街,并在网 上南京路上的网上商店中以电子商务的形式购物;已开始营业的北京图书大厦主页,客户可 以在此查阅和购买北京图书大厦经营的几十万种图书。上述两个都是B TO C的电子商务应用 形式。

  在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:

  采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:

  这一加密方法亦称为RSA编码法,是由Rivest,Shamir和Adlernan 三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。

  在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:

  这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。

  数字签名并非用手书签名类型的图形标志,它采用了双重加密的方法来实现防伪、防赖。其原理为:

  (4)对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA 编码加密产生又一摘要。

  (5)将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。

  交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

  在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务

  数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。

  时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。

  数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。

  数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:

  个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。

  企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。

  软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。

  上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。

  在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。

  目前在全球处于领导地位的认证中心是美国的VeriSign公司,创建于1995年4 月,总部在美国加州的Mountain View。该公司所提供的数字凭证的服务已遍及全世界50个国家,接受该公司的服务器数字凭证的Web站点服务器已超过45 000个,而使用该公司个人数字凭证的用户已超过200万名。

  上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成安全电子交易的体系。

  双方建立项目领导小组——全面企业需求调研——体现企业个性化特点的解决方案——双方确认方案——高层、中层领导管理理念培训——安装软件并进行实施指导(坚持以客户为中心,充分体现企业的个性化特点)——二次开发——阶段性验收——实施指导——阶段性验收——终验收。在项目开始首先召开全员动员大会,将整个项目细分为若干个小项目,并将每一个小项目都责任到人,明确完成时间和验收标准,定期进行考核。确保每个人都有压力,每个人都有责任

  展开全部涉及内容有:随着因特网的迅速发展,风起云涌的网站在炒足了“概念”之后,都纷纷转向了“务实”,而“务实”比较鲜明的特点之一:是绝大多数的网站都在试图做实实在在的“电子商务”。那么“电子商务”是什么呢?

  所谓电子商务(Electronic Commerce)是利用计算机技术、网络技术和远程通信技术,实现整个商务(买卖)过程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据(包括现金)进行买卖交易。而是通过网络,通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易(买卖)。

  第一个阶段是信息交流阶段:对于商家来说,此阶段为发布信息阶段。主要是选择自己的优秀商品,精心组织自己的商品信息,建立自己的网页,然后加入名气较大、影响力较强、点击率较高的著名网站中,让尽可能多的人们了解你认识你。对于买方来说,此阶段是去网上寻找商品以及商品信息的阶段。主要是根据自己的需要,上网查找自己所需的信息和商品,并选择信誉好服务好价格低廉的商家。

  第二阶段是签定商品合同阶段:作为B2B(商家对商家)来说,这一阶段是签定合同、完成必需的商贸票据的交换过程。要注意的是:数据的准确性、可靠性、不可更改性等复杂的问题。作为B2C(商家对个人客户)来说,这一阶段是完成购物过程的定单签定过程,顾客要将你选好的商品、自己的联系信息、送货的方式、付款的方法等在网上签好后提交给商家,商家在收到定单后应发来邮件或电话核实上述内容。

  第三阶段是按照合同进行商品交接、资金结算阶段:这一阶段是整个商品交易很关键的阶段,不仅要涉及到资金在网上的正确、安全到位,同时也要涉及到商品配送的准确、按时到位。在这个阶段有银行业、配送系统的介入,在技术上、法律上、标准上等等方面有更高的要求。网上交易的成功与否就在这个阶段。

  更广阔的环境:人们不受时间的限制,不受空间的限制,不受传统购物的诸多限制,可以随时随地在网上交易。

  更广阔的市场:在网上这个世界将会变得很小,一个商家可以面对全球的消费者,而一个消费者可以在全球的任何一家商家购物。

  更快速的流通和低廉的价格:电子商务减少了商品流通的中间环节,节省了大量的开支,从而也大大降低了商品流通和交易的成本。

  更符合时代的要求:如今人们越来越追求时尚、讲究个性,注重购物的环境,网上购物,更能体现个性化的购物过程。

  由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。

  数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。

  数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

  目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

  随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

  电子签名和数字签名的内涵并不一样,数字签名是电子签名技术中的一种,不过两者的关系也很密切,目前电子签名法中提到的签名,一般指的就是数字签名。

  ??要理解什么是电子签名,需要从传统手工签名或盖印章谈起。在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的。在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依*技术手段来替代。能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵懒性,起到与手写签名或者盖章同等作用的签名的电子技术手段,称之为电子签名。

  ??从法律上讲,签名有两个功能:即标识签名人和表示签名人对文件内容的认可。联合国贸发会的《电子签名示范法》中对电子签名作如下定义:指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息;在欧盟的《电子签名共同框架指令》中就规定?quot;以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法称电子签名。

  ??实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是数字签名技术。由于保持技术中立性是制订法律的一个基本原则,目前还没有任何理由说明公钥密码理论是制作签名的唯一技术,因此有必要规定一个更一般化的概念以适应今后技术的发展。但是,目前电子签名法中提到的签名,一般指的就是数字签名。

  ??所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。

  ??数字签名在ISO7498-2标准中定义为:附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性。按上述定义PKI(Public Key Infrastructino 公钥基础设施)提供可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证。

  PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA(Certificate Authority),PKI签名的核心元素是由CA签发的数字证书。它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交*认证,它特别适用于互联网和广域网上的安全认证和传输。

  “数字签名”与普通文本签名的最大区别在于,它可以使用个性鲜明的图形文件,你只要利用扫描仪或作图工具将你的个性签名、印章甚至相片等,制作成BMP文件,就可以当做“数字签名”的素材。

  目前可以提供“数字签名”功能的软件很多,用法和原理都大同小异,其中比较常用的有“ OnSign”。安装“OnSign”后,在Word、Outlook等程序的工具栏上,就会出现,“OnSign”的快捷按钮,每次使用时,需输入自己的密码,以确保他人无法盗用。

  对于使用了“OnSign”寄出的文件,收件人也需要安装“OnSign”或“OnSign Viewer”,这样才具备了识别“数字签名”的功能。根据“OnSign”的设计,任何文件内容的窜改与拦截,都会让签名失效。因此当对方识别出你的“数字签名”,就能确定这份文件是由你本人所发出的,并且中途没有被窜改或拦截过。当然如果收件人还不放心,也可以单击“数字签名”上的蓝色问号,“OnSign”就会再次自动检查,如果文件有问题,“数字签名”上就会出现红色的警告标志。 SSL (Secure Socket Layer)

  为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络

  上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全

  标准,但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。

  当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

  SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

  服务器认证阶段:1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会线)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。

  用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。

  从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和 MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。

  在电子邮件使用频繁的网络时代,使用好“数字签名”,就像传统信件中的“挂号信”,无疑为网络传输文件的安全又增加了一道保护屏障。

http://firmymedyczne.com/zhumiyue/553.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有